适用于存储设备的加密方法以及支持加密操作的存储系统与流程

本发明主要涉及到数据存储的，确切的说，涉及到了在数据存储领域的适用于存储设备的加密方法以及可支持加密操作的存储系统。

背景技术：

1、为防止数据意外窃取或监听而造成不可挽回的数据安全问题，当前主流的存储设备供应商通常被要求具备数据安全功能。随着存储实际场景的多样化，通常需要采用加密的方式进行数据保护来达到安全的要求。

2、使用基于密码芯片的usb-key是一种可选方式。例如对智能密码钥匙用户而言需满足本地数据安全性要求，通常用本地数据加密的密钥。常见的本地数据加密所使用到软件加密具有速度方面优势，软件加密的具体表现形式是由软件输出数据源密钥，但软件加密方式较之硬件加密方式安全性差、易破解。譬如涉外加密芯片的相关数据加密或非国密算法等在诸多场合不符合国家规定的密码管理政策，也可能留有隐形后门隐患。所以本地数据信息的加密需设置安全性门槛、增加安全等级。

3、在存储设备中需摒弃软件加密。倘若加密的数据源属于真随机数时，存储设备如网络存储器nas等之数据才安全可靠。量子随机数是其一，但产生条件过于苛刻。

技术实现思路

1、本技术涉及一种适用于存储设备的加密方法，其特征在于，包括：

2、在闪存存储器中利用选中的字线和位线而从多个页中定义一个数据源空间，闪存存储器每次在数据存储区读出数据时，通过非读字线的选通状态而迫使所述数据源空间中的耦合到非读字线的一系列晶体管的浮栅被随机注入电荷；

3、需要提供加密的数据源时刻，则读取出所述数据源空间在当时的实时数据，实时数据视为对闪存存储器中待加密的存储数据信息施加加密操作的数据源，并在闪存存储器的后续其他读出数据阶段，继续通过非读字线的选通状态而引导所述数据源空间中的耦合到非读字线的晶体管的浮栅再次随机注入电荷。

4、上述的方法，所数据存储区和所述数据源空间位于闪存存储器的同一个物理块上以及保存所述存储数据信息的存储位置和所述数据源空间位于闪存存储器的同一个物理块上或者它们分别属于闪存存储器的不同物理块。

5、上述的方法，闪存存储器中，位于所述数据源空间的晶体管的栅极氧化层比余下其他非所述数据源空间的晶体管的栅极氧化层要薄。

6、上述的方法，闪存存储器中，位于所述数据源空间的晶体管的衬底掺杂浓度比余下其他非所述数据源空间的晶体管的衬底掺杂浓度要高。

7、上述的方法，所述数据存储区在更新数据阶段，将归属于所述数据源空间的位线设为浮置状态，从而通过数据更新字线的编程状态、非数据更新字线的选通状态，来迫使所述数据源空间中位于不同页的一系列晶体管各自的浮栅随机注入电荷。

8、上述的方法，所述数据源空间中的一系列晶体管与它所在的物理块保持同步的擦除或非同步的擦除，以迫使所述数据源空间提供的数据源在随机产生的基础上、维持随机删除的动态操作。

9、上述的方法，所述数据源空间中的一系列晶体管的所述的非同步的擦除之触发条件包括了：所述数据源空间提供的数据源中的二进制零(例如其中零值的数目)所占全部二进制数值(例如含一值和零值的总数目)的比例超过了一个预设值。

10、上述的方法，所述数据源空间的晶体管的衬底被施加擦除电压的阶段，归属于所述数据源空间的位线和相应的源线分别施加低于所述擦除电压的两种不同电位，使得所述数据源空间中位于任一相同位线下但具有不同字线的晶体管在执行擦除后具有不同的初始栅极电荷(例如不同晶体管的栅极初始化电荷滞留量是相异的)。

11、本技术还涉及一种支持加密操作的存储系统，其特征在于，包括：

12、闪存存储器，其具有保存常规存储数据信息的第一类空间、和具有基于选中的字线和位线而从多个页中定义的第二类空间；

13、每次在第一类空间读出数据时，通过非读字线的选通状态而迫使所述第二类空间中的耦合到非读字线的一系列晶体管的浮栅被随机注入电荷；

14、当需要提供加密的数据源时刻，读取所述第二类空间在当时的实时数据，实时数据视为对第三类空间中待加密的存储数据信息施加加密操作的数据源，在针对第一类空间的后续的其他读出数据的操作环节，继续通过非读字线的选通状态而引导所述第二类空间中的耦合到非读字线的晶体管的浮栅再次随机注入电荷。

15、上述的支持加密操作的存储系统，所述第一类空间和所述第二类空间位于闪存存储器的同一个物理块上；以及保存所述存储数据信息的第三类空间和所述第二类空间位于闪存存储器的同一个物理块上或者它们分别属于闪存存储器的不同物理块。

16、上述的支持加密操作的存储系统，闪存存储器中，位于所述第二类空间的晶体管的栅极氧化层比余下其他非所述第二类空间(例如第一类空间或者第二类空间)的晶体管的栅极氧化层要薄。

17、上述的支持加密操作的存储系统，闪存存储器中，位于所述第二类空间的晶体管的衬底掺杂浓度比余下其他非所述第二类空间(如第一类空间或者第二类空间)的晶体管的衬底掺杂浓度要高。

18、上述的支持加密操作的存储系统，所述第一类空间在更新数据阶段，将归属于所述第二类空间的全部或部分位线设为浮置，从而通过数据更新字线的编程状态、非数据更新字线的选通状态，由此来迫使所述第二类空间中的位于不同页的一系列晶体管各自的浮栅随机注入电荷。

19、上述的支持加密操作的存储系统，所述第二类空间中的一系列晶体管与它所在的物理块保持同步的擦除、或非同步的擦除，以迫使所述第二类空间提供的数据源在随机产生的基础上、维持随机删除的动态操作。

20、上述的支持加密操作的存储系统，所述第二类空间中的一系列晶体管的所述非同步擦除之触发条件包括：所述第二类空间提供的数据源中二进制零所占全部二进制数值的比例超过一个预设值。

21、上述的支持加密操作的存储系统，所述第二类空间的晶体管的衬底被施加擦除电压的阶段，归属于所述第二类空间的位线和相应的源线分别施加低于所述擦除电压的两种不同电位，使得所述第二类空间中位于任一相同位线下但具有不同字线的晶体管在执行擦除后具有不同的初始栅极电荷。

22、基于前文所述，本技术最大优势之一是对待加密的存储数据信息(data)执行加密操作的加密源(例如密钥之类)不存在数据运输和传递的过程(例如传统技术通常需要借助于存储媒介即u盘或usb数据线或移动硬盘等而将加密源传到存储器本地、或者通过其他有线通信或无线通信的方式而将加密源复制黏贴到存储器本地)。这个数据运输和传递的过程通常容易导致密钥的泄密。本技术中存储设备用到的加密源产生于存储器内部的本地自身位置处，没有加密源(例如密钥之类)的运输和传递的过程，所以这极大的增强了加密操作从密钥产生源头到加密实施等各个环节的安全性和可靠性。整个加密流程的关键环节全部是在闭环环境下所实施，无泄密风险。

23、基于前文所述，本技术最大优势之二是对待加密的存储数据信息(data)执行加密操作的加密源(如随机数之类)的产生机制是完全意义的绝对随机性，无法人为主动影响和左右加密源的随机输出过程，能保障加密源是真随机数的前置条件。

24、基于前文所述，本技术最大优势之三是对待加密的存储数据信息(data)执行加密操作的加密源(如噪声源之类)与存储数据信息等，它们均属于同一存储器的内部数据且不同类别的数据相对于存储器外部而言具有混淆性，加密源是隐匿的。即便从存储器外部读取到存储器的数据，也无法确认读取的数据是信息本体还是加密源，亦或是存储器内部保存的其他类别信息。加密源被隐匿和分散到存储器的各非加密源中，非授权用户无法从存储器的各类信息或各类数据中甄别出真实加密源。

25、基于前文所述，本技术最大优势之四是对待加密的存储数据信息(data)执行加密操作的加密源(如随机数之类)它们两者具有相伴随行的内禀性特征，也即加密源和存储数据信息两者天然就是相伴而行或称天生不可分离。这意味着加密源和存储数据信息两者与存储器本身系物理层面的整体化结构。在敏感数据采集例如国家安全数据或公司的商业机密数据等应用场景，安全数据或者机密数据等信息可边产生边加密。即便机密存储器意外丢失或被他人截取，在不给出任何明文的条件下，无任何解密机会。